PT-2026-54639 · Npm · @Fastify/Middie
Jvr2022
+2
·
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-14198
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
@fastify/middie versões 9.1.0 a 9.3.2
Description
Ocorre uma falha de bypass de autorização porque o software decodifica a barra codificada %2F dentro de valores de parâmetros de caminho antes de corresponder aos caminhos do middleware, enquanto o roteador subjacente preserva essa codificação durante a busca da rota. Essa discrepância permite que uma requisição ignore o middleware utilizado para autenticação, autorização, limitação de taxa ou auditoria em caminhos parametrizados, permitindo que um invasor alcance um manipulador protegido usando uma URL manipulada com uma barra codificada na posição do parâmetro. Este problema é agnóstico ao método HTTP e não requer autenticação ou pré-condições especiais.
Recommendations
Atualize para a versão 9.3.3 do @fastify/middie.
Evite o uso de caminhos de middleware parametrizados para decisões de segurança.
Aplique a autenticação no manipulador de rota ou por meio de um hook do Fastify que seja executado após o roteador ter resolvido a requisição.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Fastify/Middie